【Xiao.Lei】- CentOS 7 下 firewalld 防火墙规则设置详解

引言

在现代的云计算和网络环境中，安全性是任何服务器部署的重要方面。CentOS 7默认使用 firewalld 作为防火墙管理工具，提供了强大而灵活的规则配置方式。本篇文章将深入探讨如何在 CentOS 7 上使用 firewalld 设置防火墙规则，保障服务器的网络安全。

第一部分：firewalld 简介

1.1 firewalld 是什么

firewalld 是 CentOS 7 中的动态防火墙管理器，它使用基于区域的概念来管理网络接口和服务的访问权限。与传统的 iptables 相比，firewalld 提供了更直观的命令和灵活的配置方式。

1.2 firewalld 的主要概念

• 区域（Zone）： 定义了网络接口所属的安全区域，每个区域有一组预定义的规则。
• 服务（Service）： 定义了允许通过防火墙的服务，每个服务都与一个或多个端口相关。
• 端口（Port）： 允许或拒绝流入或流出的数据包，可通过端口号或服务名指定。
• 源地址（Source Address）： 控制从特定 IP 地址或 IP 范围访问的规则。

第二部分：基本防火墙规则设置

2.1 查看当前防火墙状态

在开始设置防火墙规则之前，首先要了解当前防火墙的状态。

sudo firewall-cmd --state

这将显示防火墙当前的状态，确保 running。

2.2 查看已定义的区域

sudo firewall-cmd --get-active-zones

这将显示当前活动的区域列表，通常默认是 public。

2.3 查看某个区域的详细信息

sudo firewall-cmd --zone=public --list-all

这将显示指定区域（例如 public）的详细信息，包括已允许的服务、端口和源地址。

2.4 添加端口到防火墙规则

sudo firewall-cmd --zone=public --add-port=80/tcp --permanent

这将永久性地将 80 端口添加到 public 区域的防火墙规则中。使用 --permanent 参数使规则在重启后仍然有效。

2.5 重新加载防火墙配置

sudo firewall-cmd --reload

重新加载防火墙配置以应用新的规则。

第三部分：更高级的防火墙规则设置

3.1 定义新的区域

sudo firewall-cmd --permanent --new-zone=myzone

这将创建一个名为 myzone 的新区域。

3.2 将接口添加到新的区域

sudo firewall-cmd --zone=myzone --add-interface=eth1 --permanent

这将把 eth1 接口添加到 myzone 区域。

3.3 允许特定源地址访问

sudo firewall-cmd --zone=myzone --add-source=192.168.1.0/24 --permanent

这将允许 192.168.1.0/24 网段的源地址访问 myzone 区域。

3.4 删除规则

sudo firewall-cmd --zone=myzone --remove-interface=eth1 --permanent

这将从 myzone 区域中移除 eth1 接口。

第四部分：防火墙日志和高级设置

4.1 启用防火墙日志

sudo firewall-cmd --set-log-denied=all

这将启用所有拒绝的连接的日志记录。日志将保存在 /var/log/firewalld 目录下。

4.2 高级规则设置

firewalld 支持更复杂的规则设置，包括限制连接的数量、使用 rich rules 等。

# 限制每秒钟连接的数量
sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -p tcp --syn --source 0/0 --destination 0/0 --limit 1/s --limit-burst 5 -j ACCEPT

这将限制每秒钟只允许一个连接，最多允许 5 个突发连接。

结语

通过本文，你已经了解了如何在 CentOS 7 中使用 firewalld 设置强大而灵活的防火墙规则。防火墙是保护服务器安全的重要一环，理解并合理配置规则将有助于确保服务器网络的稳定性和安全性。希望这篇文章对你在 CentOS 7 上进行防火墙设置时有所帮助。